¿Qué tan práctico es la inclusión en la lista blanca de aplicaciones?

Si crea un directorio en una lista blanca, entonces, seguro, cualquier malware en ese directorio puede ejecutarse.

Es por eso que no hace directorios de listas blancas. En lugar de eso, coloca en la lista blanca los programas y toma precauciones para asegurarse de que esos programas no se modifiquen. Por ejemplo, en lugar de incluir en la lista blanca "c: \ Archivos de programa \ Internet Explorer", usted incluye en la lista blanca "c: \ Archivos de programa \ Internet Explorer \ iexplore.exe con suma de comprobación SHA-256 c09bc04058f1e2d4eae481490b998381486311e02ff782e99383c16d77c1c1c3c3c3c3c3c1".     

En un entorno corporativo, el propósito de la lista blanca es que un administrador puede autorizar la ejecución de programas, pero un usuario regular no puede.

En ese caso, está bien incluir en la lista blanca un directorio al que un usuario regular no tiene acceso de escritura. De hecho, hay un perfil estándar de AppLocker que permite la ejecución desde C: \ Archivos de programa y C: \ Windows, pero excluye los directorios de usuarios que pueden escribirse. Es raro ver esto en la práctica, pero creo que es un excelente control de seguridad. En particular, impide que un usuario descargue un archivo exe de Internet y lo ejecute.

El enfoque Mark menciona el hashing de archivos exe y dll individuales, aunque es agradable en general, y en general se ha desacreditado como imposible de implementar en la práctica.

Puedo imaginar su siguiente pregunta: ¿qué sucede si el malware hace una escalada de privilegios y se escribe en un directorio incluido en la lista blanca? Bueno, claramente que el malware se volverá a ejecutar en el futuro. La lista blanca de AppLocker no protege contra eso. De hecho, muy pocas protecciones funcionan contra el malware que ha aumentado los privilegios de root / administrador. La lista blanca es una técnica útil, pero no es una bala de plata.